在续订客户端证书后、无法从外部KMIP还原加密密钥
适用场景
- ONTAP 9
- NetApp 卷加密 (NetApp Volume Encryption, NVE)
- NetApp 聚合加密( NAE )
- 自加密驱动器(SED)
- NetApp存储加密NSE
- 外部KMIP服务器/外部密钥管理器
问题描述
- 续订用于向外部KMIP服务器进行身份验证的ONTAP端KMIP客户端证书后、ONTAP 将无法再检索现有密钥。
- 重新启动两个ONTAP 节点后、卷将保持脱机状态、无法从外部KMIP还原其密钥。
- 使用新密钥创建新卷可以正常工作、但在外部密钥管理器服务器图形用户界面或命令行界面上、这些新密钥与证书RenewalNet之前创建的密钥关联的所有者不同。
- ONTAP 中的KMIP客户端登录显示:
Warning: Unable to list entries on node node-01. KMIP "Get" command failed on external key server "10.0.0.1:5696". Cryptsoft error: "Response
status: OPERATION_FAILED. Reason: GENERAL_FAILURE. Message: Unknown key name or insufficient permissions".
- KMIP服务器显示类似以下内容的错误:
Crypto Server Generic Security Warning Alert 4 sent, Unauthorized key usage. Unauthorized access to key <key-id> by user <common_name_different_from_key_owner>.